Pregunta: ¿Cómo pueden las organizaciones asegurarse de que sus API sean resistentes al compromiso frente al aumento de los ataques basados en API?
Rory Blundell, fundador y director ejecutivo de Gravitee: Las empresas de todos los tamaños y en todas las industrias confían habitualmente en las API internas para unir sus aplicaciones de línea de negocio y en las API externas para compartir datos o servicios con proveedores, clientes o socios. Debido a que una sola API puede tener acceso a múltiples aplicaciones o servicios, comprometer la API es una manera fácil de comprometer un amplio conjunto de activos comerciales con un esfuerzo mínimo.
Las API se han convertido en un vector de ataque popular, y la frecuencia de los ataques de API ha aumentado de forma asombrosa. 681%, según recientes investigación de Salt Labs. El primer paso para proteger sus API es seguir las mejores prácticas, como las que OWASP recomienda para protegerse contra los riesgos comunes de seguridad de la API.
Sin embargo, las prácticas básicas de seguridad de API no son suficientes para mantener seguros los recursos de TI. Las empresas deben tomar los siguientes pasos adicionales para proteger sus API.
1. Adopte la autenticación basada en riesgos
Las empresas deben adoptar políticas de autenticación basadas en el riesgo, que permitan hacer cumplir las protecciones de seguridad en casos de mayor riesgo. Por ejemplo, es posible que un cliente de API con un largo historial de emisión de solicitudes legítimas que siguen un patrón predecible no necesite pasar por el mismo nivel de autenticación para cada solicitud que un cliente nuevo que nunca se ha conectado antes. Pero si el patrón de acceso del cliente de la API desde hace mucho tiempo cambia (si, por ejemplo, el cliente de repente comienza a emitir solicitudes desde una dirección IP diferente), requerir una autenticación más rigurosa sería una forma inteligente de garantizar que las solicitudes no provengan de un cliente comprometido.
2. Agregar autenticación biométrica
Aunque los tokens siguen siendo importantes como medio básico para autenticar clientes y solicitudes, puede ser robado. Por esa razón, combinar la autenticación basada en token con la autenticación biométrica es una forma inteligente de mejorar la seguridad de la API. En lugar de asumir que cualquier persona que posea un token API es un usuario válido, los desarrolladores deberían diseñar aplicaciones para que los usuarios también tengan que autenticarse mediante huellas dactilares, escaneos faciales o un método similar, al menos en contextos de mayor riesgo.
3. Hacer cumplir la autenticación externamente
Cuanto más complejos se vuelven sus esquemas de autenticación de API, más difícil es hacer cumplir los requisitos de seguridad dentro de su propia aplicación. Por ese motivo, los desarrolladores deben esforzarse por desvincular las reglas de seguridad de la API de la lógica de la aplicación y, en su lugar, utilizar herramientas externas, como puertas de enlace de API, para hacer cumplir los requisitos de seguridad. Este enfoque hace que las políticas de seguridad de API sean más escalables y flexibles porque se pueden implementar y actualizar fácilmente dentro de las puertas de enlace de API, en lugar de hacerlo a través del código fuente de la aplicación. Y lo que es más importante, le permite aplicar diferentes reglas a diferentes usuarios o solicitudes en función de diferentes perfiles de riesgo.
4. Equilibre la seguridad de la API con la usabilidad
Es importante no dejar que la seguridad se convierta en el enemigo de la usabilidad. Si hace que las medidas de autenticación de API sean demasiado intrusivas o onerosas, sus usuarios podrían abandonar sus API, que es lo contrario de lo que desea que suceda. Evite esto asegurándose de que las reglas de seguridad de la API sean estrictas cuando haya una razón para que lo sean, pero sin imponer requisitos innecesarios.
Los ataques dirigidos a las API no muestran signos de desaceleración. Al diseñar y proteger las API, los desarrolladores deben ir más allá de las recomendaciones de OWASP para dificultar la explotación de la API.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
